Причем подобные уязвимости IT-периметра есть у 100% компаний — к такому выводу пришли специалисты Positive Technologies, изучившие защищенность бизнеса из разных отраслей.
По словам директора по развитию продуктового бизнеса Positive Technologies Эльмана Бейбутова, всего кибербез фиксирует более 20 тысяч уязвимостей в различных системах в год, а ежедневно появляется около 50 новых. Для того чтобы классифицировать угрозы, компания ввела понятие трендовых уязвимостей. Они наиболее опасны, так как для них уже есть программные ключи (эксплойты) и информация широко расползается по специализированным ресурсам, что позволяет попробовать этот способ даже хакерам с минимальной подготовкой.
По данным Positive Technologies (компания провела исследование на основе 27 пилотных проектов «MaxPatrol VM»), трендовые уязвимости присутствуют в 100% компаний. В пределах пилотных зон, которые сам бизнес открывал для сканирования, было выявлено около 600 подобных брешей. При этом на один объект критической значимости приходилось две трендовые уязвимости. Эту статистику компания озвучила в рамках традиционной кибербитвы Standoff.
Как подчеркнул Эльман Бейбутов, наиболее часто встречались уязвимости в компонентах операционной системы Microsoft и пакета Microsoft Office. Высочайшая степень опасности у такого типа уязвимости — выполнение произвольного кода. Это позволяет хакеру в корпоративном цифровом пространстве запустить любую программу, создать любую учетную запись и загрузить любой объект, в том числе «вредонос». Для большинства атак выполнение произвольного кода — это точка победы, так как после проникновения остается просто реализовать логику атаки.
Еще один из типов критичных уязвимостей — это повышение привилегий. В этом случае злоумышленник захватывает учетную запись сотрудника, наделяет себя правами администратора и начинает атаку.
Трендовые уязвимости чаще представляют собой бреши в популярных операционных системах, в том числе российских.
«Пакетная база достаточно большая — контролировать все с точки зрения безопасной разработки сложно. И возможности нарушителей тоже растут, поэтому и число уязвимостей, которые появляются в Open-Source ПО, будет стремиться вверх, — отмечает Владимир Тележников, начальник отдела научных исследований ГК “Астра”. — Надо как можно быстрее их выявлять, устранять и разрабатывать технологии, которые позволят бороться не только с постфактум обнаруженными ошибками, а действовать на упреждение».
Однако не все вендоры следуют этому совету. В целом, по словам Эльмана Бейбутова, для российских разработчиков устранение уязвимостей в их собственном ПО пока оставляет желать лучшего: даже если им сообщают об обнаружении уязвимости, они не спешат не только выпустить патчи, но даже поставить в известность своих клиентов или комьюнити о существовании проблемы.
А может, просто отключить интернет?
Мало выявить уязвимость — надо организовать процесс ее устранения, с чем у многих российских компаний реальные проблемы. Отчасти это объясняется историческим противостоянием в фирме двух цифровых подразделений — департамента IT и департамента кибербезопасности, которое иногда доходит до состояния «междоусобной войны». Из-за отсутствия взаимодействия безопасники зачастую не знают, как меняется IT-ландшафт.
Еще одна причина недостаточной работы с выявленными уязвимостями — неправильная ее организация. Учитывая, что в среднем отчет о результатах сканирования на уязвимости содержит 30 тысяч строк, без приоритизации активов и действий справиться с ними невозможно, хотя большинство уязвимостей закрывается обновлением ПО и патч-менеджментом.
«То, что на пилотных проектах мы видим уже известные уязвимости, к которым вендоры уже выпустили соответствующие патчи или обновленные версии ПО, говорит о том, что в компаниях плохо выстроен процесс управления, — отмечает Павел Попов, лидер практики продуктов для управления уязвимостями и мониторинга кибербезопасности Positive Technologies. — Компании либо не контролируют устранение уязвимостей, поэтому не знают, что что-то выпало из процесса патч-менеджмента, либо не учитывают их критичность или значимость активов, на которых они расположены. Но сегодня на рынке уже есть подходы и решения, способные обеспечивать инвентаризацию, категоризацию, поиск уязвимостей, контроль за устранением и еще вагон функций».
Эволюция средств киберзащиты привела к увеличению выявленных уязвимостей. «Через год выявленных уязвимостей будет точно больше 20 тысяч, а 5–7 лет назад появлялось порядка 8–9 тысяч уязвимостей в год, но значит ли это, что их вообще было меньше? Нет! Уязвимостей было и есть огромный океан, — подчеркивает Эльман Бейбутов. — Но лучше знать, что ты пользуешься чем-то дырявым, так как это дает тебе возможность действовать по разным сценариям: прекратить использовать какое-то ПО, подготовить дополнительные рубежи “обороны”, попытаться удлинить или усложнить цепочку возможной атаки…»
Еще один вариант действий при угрозах кибератак предложила президент группы InfoWatch Наталья Касперская. По ее словам, спасти бизнес может децифровизация. «Причем вплоть до такой непопулярной меры, как децифровизация, может быть, даже съем интернет-датчиков там, где они, может быть, не очень нужны, то есть убирание их и по возможности переход на механические системы, — заявила она во время SOC-форума в середине ноября. — Сами предприятия должны посмотреть на свои объекты, которые являются наиболее критичными, понять, насколько их вообще можно атаковать и что с этим делать, например полностью закрыть или еще что-то».
Однако игроки ИТ-индустрии с простейшим решением проблемы готовы поспорить. Децифровизация — это звучит как демарш. С каким трудом проходила цифровизация, с таким же трудом будет идти децифровизация. Закручивание гаек безопасности в ультимативной форме децифровизации может быть во вред бизнесу, который только-олько начал получать отдачу от инвестиций в цифровизацию.
По данным «Мегафона», в 2021 году девять из 10 российских компаний подверглись кибератакам. При этом 38% получили имиджевый или финансовый ущерб. Наиболее уязвимым на сегодня оказался малый и средний бизнес.